se alguém configurasse um túnel ssh para / do trabalho ou em casa, existe uma maneira de impedir o tráfego futuro de encapsulamento SSH?
Entendo que o websense pode bloquear o tráfego, mas os usuários que usam o encapsulamento ssh podem ignorar o websense ou outros produtos similares porque não podem descriptografar ou procurar mais no pacote para diferenciar o tráfego legítimo ou ilegítimo.
de algumas leituras e pesquisas, descobri que algumas coisas que você pode fazer são as seguintes: - desativar completamente o SSH; não é permitido - restrinja o acesso ssh apenas aos usuários que precisam deles e negue acesso a todos os outros - crie um protocolo personalizado para colocar o tráfego ssh na lista negra ou na lista branca por destino (supondo que as listas sejam gerenciáveis) - revise os logs do tráfego ssh, revise os IPs de destino e verifique se eles resolvem dispositivos legítimos ou permitidos ou não, ou verifique se há mais tráfego regular da Internet do que o tráfego de túnel e se você pode negar / colocar na lista negra esse IP
Mas eu estava pensando, além dessas opções, seria possível contornar as opções acima através de um ataque do tipo homem do meio?
Ou existe outra opção para bloquear o tráfego de encapsulamento ssh ou mesmo algum dispositivo de rede que possa filtrar / bloquear esse tráfego?
Obrigado pela ajuda.
Respostas:
A prevenção de conexões ssh de saída e, portanto, de qualquer túnel, exigiria um bloqueio completo das conexões de saída por meio de inspeção profunda de pacotes. Olhar para os portos será 100% inútil. Você precisa examinar a carga útil real do pacote para saber que é SSH. (é isso que o websense está fazendo.)
A única outra opção é configurar um host "proxy". Bloqueie a configuração para que o cliente e o servidor ssh não permitam o encapsulamento e, em seguida, permita apenas que a máquina faça conexões ssh de saída - é claro, isso inclui a proteção do sistema também, caso contrário, as pessoas poderão executar o software ssh que desejarem.
fonte
Existe outro método, se você está apenas olhando para impedir que as pessoas usem o SSH como uma solução alternativa de proxy, por que não limitar a taxa para dizer 20kB / s mais ou menos, isso acaba sendo doloroso o suficiente para a Web, mas imperceptível para o uso do console.
Se você deseja permitir transferências de arquivos na velocidade normal, isso não seria uma opção.
fonte
Se você controlar o servidor SSH e o firewall, poderá controlar o acesso bloqueando o acesso a qualquer porta que o servidor SSH esteja usando (22 por padrão). A menos que a porta tenha sido aberta anteriormente, é provável que as conexões de entrada sejam bloqueadas de qualquer maneira, embora você provavelmente descubra que essas conexões serão permitidas. Com o design e o planejamento certos, você pode controlar o acesso da maneira mais granular ou granulada que desejar.
Se você não controlar o servidor SSH, não poderá garantir a porta que está usando, pois será muito mais difícil filtrar com base apenas na porta.
Se você precisar permitir que todos acessem um servidor SSH enquanto estiverem na sua rede, mas apenas alguns selecionados quando estiverem fora dele, a batida na porta é uma leitura clara.
fonte